您的位置:360文档中心› 12-SGISLOP-SA14-10-防火墙等级保护测评作业指导书(三级)

12-SGISLOP-SA14-10-防火墙等级保护测评作业指导书(三级)

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

....

控制编号:SGISL/OP-SA14-10

信息安全等级保护测评作业指导书

防火墙(三级)

版号:修改次数:生效日期:

第2版

第0次2010年01月06日

中国电力科学研究院信息安全实验室

修改页

版号/

修订号控制编号修改人修订原因批准人批准日期备注章节号

1SGISL/OP-

SA14-10唐斐按公安部要求修订詹雄2010.3.8

一、网络访问控制访问

1.端口级的访问控制

应能根据会话状态信息为数据流提供明测评项编号ADT-FW-01对应要求确的允许/拒绝访问的能力,控制粒度为

端口级

测评项名称端口级的网络访问控制

测评分项1:查看防火墙缺省规则是否为默认禁止

在管理界面中,查看防火墙已有的安全规则。

操作步骤适用版本

实施风险任何版本无

符合性判定访谈网络管理员,防火墙的缺省规则。如为默认允许,则应查看防火墙的最后一条安全规则,如果不是拒绝从any到any的任何协议通过,判定结果为不符合;

其它情况,判定结果为符合。

测评分项2:检查防火墙控制粒度是否为端口级

访谈网络管理员,确定防火墙应允许/拒绝的网络服务的连接。查看防

火墙规则,验证控制粒度是否为端口级。

操作步骤

适用版本实施风险任何产品无

查看防火墙所配置的访问控制规则,规则设置的参数包括端口,判定结符合性判定果为符合;

查看防火墙所配置的访问控制规则,规则设置的参数不包括端口,判定

结果为不符合。

备注

2.协议命令级的网络访问控制

测评项编号

应对进出网络的信息内容进行过滤,实现

ADT-FW-02对应要求对应用层HTTP、FTP、TELNET、SMTP、

POP3等协议命令级的控制

测评项名称协议命令级的网络访问控制

测评分项1:实现应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制

检查防火墙对HTTP、FTP、TELNET、SMTP、POP3协议的内容过滤

配置

操作步骤

适用版本

实施风险任何产品无

如防火墙应用层协议内容过滤配置中配置的参数包含URL地址、收件符合性判定人、FTP下载的文件类型等,判定结果为符合;

若无上述参数,协议命令级的网络访问控制判定结果为不符合。

备注

3.会话连接超时处理

测评项编号ADT-FW-03对应要求应在会话处于非活跃一定时间或会话结

束后终止网络连接测评项名称会话连接超时处理

测评分项1:防火墙上设置会话连接超时

在管理界面上,查看是否设置了会话连接超时。

操作步骤适用版本

实施风险任何产品无

管理界面上,查看设置的会话连接超时间,且时间设置的合理,判定结

果为符合。

符合性判定

管理界面上,未设置会话连接超时时间,判定结果为不符合。若时间设

置的不合理,则判定为部分符合。

备注

4.网络流量和最大连接数的限制

测评项编号ADT-FW-04对应要求在互联网出口和核心网络接口处应限制网络最大流量数及网络连接数

测评项名称网络流量和最大连接数的限制

测评分项1:根据IP地址、端口、协议来限制应用数据流的最大流量,根据IP地址限制网络连接数

访谈网络管理员,是否需要限制网络最大流量和网络连接数。在管理界

面上,查看是否设置了网络最大流量和网络连接数。

操作步骤

适用版本

实施风险任何产品无

符合性判定

备注

二、安全审计1.日志记录

....

管理界面上,查看设置了最大流量数和网络连接数,判定结果为符合。如访谈结果显示不需要设置网络最大流量和网络连接数,判定结果也为符合。

管理界面上,未设置最大流量数,判定结果为不符合。

测评项编号ADT-FW-05对应要求应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录

测评项名称防火墙日志记录

测评分项1:防火墙记录防火墙的管理行为、设备运行状况和网络流量。

查看防火墙的日志,是否存在防火墙的管理行为、网络流量、访问控制

策略的匹配等相关日志记录

操作步骤

适用版本

实施风险任何产品无

存在防火墙的管理行为、网络流量、访问控制策略的匹配等相关日志记符合性判定录,判定结果为符合

包含上述内容不全面,判定结果为部分符合

测评分项2:审计记录应包括:事件的日期和时间、用户、事件类型、事件结果等

操作步骤查看日志记录内容,是否包含事件的日期和时间、用户、事件类型、事件结果

适用版本实施风险所有内容无

包含事件的日期和时间、用户、事件类型、事件结果,判定结果为符合符合性判定

包含上述内容不全面,判定结果为部分符合

备注

2.日志分析

测评项编号ADT-FW-06对应要求应能够根据记录数据进行分析,并生成审计报表

测评项名称日志分析

测评分项1:查询各种审计数据的分析结果并生成报表

登陆防火墙管理界面,分类统计已有的审计数据,并选择生成图表

操作步骤适用版本

实施风险任何产品无

根据防火墙支持的分类统计方法分析审计记录数据,并生成图表,判定符合性判定结果为符合

防火墙不能分析已有的审计记录以生成数据和图表,判定结果为不符合备注

3.审计记录的保护

测评项编号ADT-FW-07对应要求应对审计记录进行保护,避免受到未预期

相关文档
最新文档